今天凌晨2点,OpenAI发布了一项新技术研究,通过增加推理时间、算力资源来大幅度提升模型的对抗鲁棒性。
与传统的对抗训练样本方法不同的是,OpenAI提出的新方法不需要对大模型进行专门的对抗训练,也不需要提前了解攻击的具体形式。只需要通过增加推理时间和算力资源,模型就可以更充分地利用其推理能力表现出更强的鲁棒性。
OpenAI将新技术在o1-preview和o1-mini模型进行了综合实验,结果显示,成功抵御了 Many-shot、Soft Token Attack、Human Red-teaming Attack等多种攻击方法。
![]()
fmt=png&from=appmsg" data-type="png" data-w="554" data-original-="" data-index="1" src="http://pic.chinaz.com/2025/0123/2025012308454209210.jpg" _width="554px" alt="图片" data-fail="0" style="margin: 0px auto; padding: 0px; box-sizing: border-box; outline: 0px; border: 1px solid rgb(238, 238, 238); --tw-shadow: 0 0 #0000; --tw-ring-inset: var(--tw-empty, ); --tw-ring-offset-width: 0px; --tw-ring-offset-color: #fff; --tw-ring-color: rgba(41, 110, 228, 0.5); --tw-ring-offset-shadow: 0 0 #0000; --tw-ring-shadow: 0 0 #0000; max-width: 700px; background: url("../img/bglogo2.svg") center center no-repeat rgb(247, 248, 249); box-shadow: rgba(27, 95, 160, 0.1) 0px 1px 3px; display: inline-block;"/>
对抗鲁棒性指的是模型在面对经过精心设计的恶意攻击时,依然能保证正确、安全的输出。这对于确保模型在实际商业应用至关重要,尤其是在模型被用于高风险场景,例如,AI Agent、语音聊天助手、AI客服等自动驾驶、医疗诊断和金融决策等。
传统的对抗鲁棒性方法是通过修改训练目标,让模型学习抵御特定的对抗攻击。但这个方法有两大弊端,第一是对抗训练的成本非常高;第二就是需要提前知道对方的攻击集和方法。但现实世界是千变万化的根本防不胜防。
而OpenAI提出的新方法不需要对模型进行专门的对抗训练,也无需提前了解攻击的具体方法,只需增加推理时间和算力资源,模型就能增强对抗鲁棒性。
OpenAI发现,适当延长推理时间、算力,让模型有更多机会去思考,可以显著提高其应对复杂问题的能力,尤其是那些包含潜在风险或误导信息的提示。
从本质上来看,推理时间不只是简单的延迟输出,它允许模型更深入地分析输入数据,识别出可能存在的异常情况,并根据先前学到的知识库进行推理。这种深度思考有助于模型更好地理解上下文语境、分辨歧义词汇、排除干扰项,最终做出更为准确和安全的选择。
![]()
FMt=png&from=appmsg" data-type="png" data-w="554" data-original-="" data-index="2" src="http://pic.chinaz.com/2025/0123/2025012308454209221.jpg" _width="554px" alt="图片" data-fail="0" style="margin: 0px auto; padding: 0px; box-sizing: border-box; outline: 0px; border: 1px solid rgb(238, 238, 238); --tw-shadow: 0 0 #0000; --tw-ring-inset: var(--tw-empty, ); --tw-ring-offset-width: 0px; --tw-ring-offset-color: #fff; --tw-ring-color: rgba(41, 110, 228, 0.5); --tw-ring-offset-shadow: 0 0 #0000; --tw-ring-shadow: 0 0 #0000; max-width: 700px; background: url("../img/bglogo2.svg") center center no-repeat rgb(247, 248, 249); box-shadow: rgba(27, 95, 160, 0.1) 0px 1px 3px; display: inline-block;"/>
为了验证推理时间的有效性,研究人员在o1-preview和o1-mini模型实验了Many-shot Attack(多样本攻击)、Soft Token Attack(软token攻击)、Human Red-teaming Attack(人类攻击)、AI Red-teaming Attack(人类红队攻击)等不同类型的攻击方法。
Many-shot Attack:研究人员首先设计了一系列误导性样本。这些样本通常包含正确的问题和错误的答案,但错误答案被伪装成正确答案。例如,在数学任务中,攻击者可能会设计一个样本,其中问题是一个简单的加法问题,但答案被设置为一个错误的数字(如“42”)。误导性样本被设计为在模型的上下文中多次出现,以增加模型学习错误模式的可能性。
![]()
loloequK54qkAZryD0LMNFSZcGdpqjjibtevxMj1uwZe61Q/640?wx_fmt=png&from=appmsg" data-type="png" data-w="554" data-original-="" data-index="3" src="http://pic.chinaz.com/2025/0123/2025012308454209222.jpg" _width="554px" alt="图片" data-fail="0" style="margin: 0px auto; padding: 0px; box-sizing: border-box; outline: 0px; border: 1px solid rgb(238, 238, 238); --tw-shadow: 0 0 #0000; --tw-ring-inset: var(--tw-empty, ); --tw-ring-offset-width: 0px; --tw-ring-offset-color: #fff; --tw-ring-color: rgba(41, 110, 228, 0.5); --tw-ring-offset-shadow: 0 0 #0000; --tw-ring-shadow: 0 0 #0000; max-width: 700px; background: url("../img/bglogo2.svg") center center no-repeat rgb(247, 248, 249); box-shadow: rgba(27, 95, 160, 0.1) 0px 1px 3px; display: inline-block;"/>
在实验中,这些样本被放置在模型需要忽略的区域(如通过特殊的标签标记),但模型可能会因为误导性样本的重复出现而被诱导学习错误的模式。攻击的强度通过注入的误导性样本数量来衡量,样本数量越多,攻击的强度越大。
模型在接收到包含误导性样本的输入后,开始进行推理。研究人员记录模型的输出,并评估其是否符合攻击目标。实验结果显示,随着推理时算力资源的增加,模型对多样本攻击的鲁棒性大幅度提高。
Soft Token Attack:软token攻击是一种白盒攻击方法,攻击者通过直接操作模型的内部嵌入向量来生成误导性输入。这种攻击方法利用了模型的可微分性,通过优化嵌入向量来最大化攻击成功率。
这些嵌入向量被优化以生成误导性输入。优化过程通常通过梯度下降算法完成,目标是使模型的输出符合攻击者的意图。例如,在数学任务中,攻击者可能会优化嵌入向量,使模型输出错误的答案。
这些嵌入向量可以是单独的单词或短语,也可以是整个句子的一部分。攻击的强度通过嵌入向量的数量和优化步骤的数量来衡量。
模型在接收到包含优化后的嵌入向量的输入后,开始进行推理。研究人员记录模型的输出,并评估其是否符合攻击目标。实验中,研究人员会调整推理时算力资源的量,以观察不同算力资源水平下模型的鲁棒性变化。
结果显示,模型在推理时间、算力增加的情况下同样抵御了软token的攻击。
AI Red-teaming Attack:AI红队攻击是一种自动化攻击方法,攻击者通过设计语言模型程序(LMP)来生成攻击样本,试图诱导模型产生错误的输出。这种攻击方法利用了语言模型的生成能力,能够快速生成大量攻击样本,从而提高攻击效率。
研究人员设计了一种语言模型程序,该程序能够根据模型的输出动态调整攻击策略。LMP通过分析模型的反应,生成新的攻击样本,以提高攻击成功率。同样模型在增加推理时间、算力情况下成功抵御攻击。